工程有限公司網(wǎng)絡(luò)改造設(shè)計(jì)方案

1、 . . . 工程網(wǎng)絡(luò)改造設(shè)計(jì)方案第一部分 用戶需求，方案設(shè)計(jì)原則1、網(wǎng)絡(luò)改造原則2、設(shè)備選型原則3、網(wǎng)絡(luò)接入4、網(wǎng)絡(luò)安全和管理5、系統(tǒng)部分設(shè)計(jì)第二部分 需求分析，方案設(shè)計(jì)1、 網(wǎng)絡(luò)改造拓?fù)鋱D2、 網(wǎng)絡(luò)部分規(guī)劃 （1）網(wǎng)絡(luò)接入 （2）網(wǎng)絡(luò)安全和管理（3）劃分VLAN隔離區(qū)域3、 系統(tǒng)部分規(guī)劃（1） 域管理模式（2） 文件服務(wù)器（3） 服務(wù)器第三部分 方案部署與實(shí)施1、 網(wǎng)絡(luò)部分設(shè)備選型2、 系統(tǒng)部分設(shè)備選型3、 網(wǎng)絡(luò)部分方案實(shí)施（1） 網(wǎng)絡(luò)接入設(shè)置（2） 網(wǎng)分組管理（3） 網(wǎng)絡(luò)安全防護(hù)（4） 提供對(duì)網(wǎng)絡(luò)治理、監(jiān)控、優(yōu)化的有效手段4、 系統(tǒng)部分方案實(shí)施（1） 域管理模式（2） 文件服務(wù)器（3）

2、服務(wù)器第四部分 欣全向科技介紹與聯(lián)絡(luò)方式第一部分 用戶需求，方案設(shè)計(jì)原則網(wǎng)絡(luò)改造原則：1、滿足現(xiàn)有需求，解決現(xiàn)有網(wǎng)絡(luò)問(wèn)題2、防未來(lái)的威脅，加固網(wǎng)絡(luò)基礎(chǔ)安全3、提供對(duì)網(wǎng)絡(luò)治理、監(jiān)控、優(yōu)化的有效手段4、文件服務(wù)器、系統(tǒng)等應(yīng)用服務(wù)的架設(shè)設(shè)備選型原則：1、所有的硬件設(shè)備符合國(guó)家有關(guān)標(biāo)準(zhǔn)和規(guī)定，符合國(guó)家相關(guān)產(chǎn)品質(zhì) 量標(biāo)準(zhǔn)、安全和電磁學(xué)規(guī) 。2、所用設(shè)備材料統(tǒng)一先進(jìn)，適應(yīng)今后的發(fā)展需要。3、由國(guó)外知名廠商生產(chǎn)，技術(shù)指標(biāo)先進(jìn)。4、考慮用戶實(shí)際需求并符合經(jīng)濟(jì)性、適用性原則。一、網(wǎng)絡(luò)接入1、要求滿足電信寬帶的完美接入，保證網(wǎng)絡(luò)不掉線、不卡不慢2、實(shí)時(shí)數(shù)據(jù)庫(kù)更新電信線路的策略庫(kù)3、針對(duì)不同部門(mén)的帶寬控制，保證上網(wǎng)

3、流暢、穩(wěn)定4、支持100終端的并發(fā)連接上網(wǎng)5、上網(wǎng)行為管理功能，禁止 、網(wǎng)絡(luò)游戲與其他上網(wǎng)控制功能6、無(wú)線接入功能，保證無(wú)線網(wǎng)絡(luò)的流暢使用7、遠(yuǎn)程管理，方便網(wǎng)管對(duì)總部和分支機(jī)構(gòu)的統(tǒng)一管理二、網(wǎng)安全和管理1、保證網(wǎng)之間的傳輸通暢2、防止網(wǎng)ARP攻擊、IP欺騙現(xiàn)象3、防止網(wǎng)底層協(xié)議（Ddos）攻擊4、對(duì)每一臺(tái)終端進(jìn)行可控管理（上網(wǎng)、網(wǎng)速限制）5、全網(wǎng)監(jiān)控每一臺(tái)終端的數(shù)據(jù)流量、攻擊發(fā)生的詳細(xì)信息6、記錄這些網(wǎng)絡(luò)發(fā)生的信息7、對(duì)財(cái)務(wù)部，行政部，技術(shù)部、服務(wù)器組進(jìn)行網(wǎng)絡(luò)隔離管理8、保證重要部門(mén)正常上網(wǎng)，不受其他影響9、針對(duì)不同部門(mén)，進(jìn)行上網(wǎng)權(quán)限、網(wǎng)速的控制10、架設(shè)無(wú)線網(wǎng)絡(luò)，滿足無(wú)線網(wǎng)絡(luò)接入三、系統(tǒng)部分

4、設(shè)計(jì)1、采用windows系統(tǒng)提供的域模式來(lái)組織和管理全部系統(tǒng)資源2、提供服務(wù)器端口映射、VPN穿透等功能3、分支機(jī)構(gòu)能夠訪問(wèn)總部文件服務(wù)器等功能4、部署系統(tǒng)，建立統(tǒng)一信息傳輸平臺(tái)第二部分 需求分析，方案設(shè)計(jì)一、網(wǎng)絡(luò)改造拓?fù)鋱D圖1、*公司網(wǎng)絡(luò)拓?fù)鋱D二、網(wǎng)絡(luò)部分規(guī)劃 1、網(wǎng)絡(luò)接入圖2、網(wǎng)絡(luò)接入設(shè)計(jì)（1） 滿足寬帶接入必要功能（2） 公網(wǎng)傳輸速度優(yōu)化，保證外網(wǎng)通訊流暢（3） 提供網(wǎng)NAT共享上網(wǎng)過(guò)程（4） 配合網(wǎng)安全管理的接入設(shè)備具備安全功能（5） 提供監(jiān)控全網(wǎng)每一臺(tái)終端的上網(wǎng)數(shù)據(jù)（6） 控制每臺(tái)終端網(wǎng)、公網(wǎng)傳輸限速（7） 支持100終端的并發(fā)連接上網(wǎng)（8） 遠(yuǎn)程管理，方便網(wǎng)管對(duì)總部和分支機(jī)構(gòu)的統(tǒng)

5、一管理（9）架設(shè)一臺(tái)無(wú)線路由器，適合使用無(wú)線網(wǎng)絡(luò)的便攜式電腦2、網(wǎng)絡(luò)安全和管理（1）保證網(wǎng)絡(luò)安全穩(wěn)定流暢，防御各種網(wǎng)絡(luò)協(xié)議、病毒攻擊（2）針對(duì)不同部門(mén)，進(jìn)行上網(wǎng)權(quán)限的控制（3）封鎖娛樂(lè)性與其他網(wǎng)絡(luò)應(yīng)用（4）封鎖 、網(wǎng)絡(luò)游戲、股票軟件與其他上網(wǎng)行為（5）帶寬控制，限制終端電腦的網(wǎng)速，保證帶寬的有效利用（6）實(shí)時(shí)查看整網(wǎng)與各個(gè)終端電腦網(wǎng)絡(luò)應(yīng)用情況（7）快速定位攻擊源，與時(shí)排除網(wǎng)絡(luò)問(wèn)題3、劃分VLAN隔離區(qū)域，保證重要部門(mén)的信息安全、穩(wěn)定圖3、VLAN規(guī)劃（1）重要部門(mén)包括財(cái)務(wù)室、技術(shù)部、服務(wù)器等（2）將這些終端用VLAN端口隔離起來(lái)，提供安全穩(wěn)定的上網(wǎng)環(huán)境（3）根據(jù)實(shí)際應(yīng)用，設(shè)置各個(gè)部門(mén)之間的通訊

6、權(quán)限（4）提供可靠安全的公網(wǎng)和網(wǎng)服務(wù)，提高辦公效率（5）服務(wù)器和終端不受網(wǎng)底層攻擊影響三、系統(tǒng)部分規(guī)劃1、域名psp.，根據(jù)各部門(mén)員工名字指定計(jì)算機(jī)名。2、文件服務(wù)器，分支機(jī)構(gòu)能夠遠(yuǎn)程總公司文件服務(wù)器3、部署系統(tǒng)，建立統(tǒng)一信息傳輸平臺(tái)第三部分 方案部署與實(shí)施一、網(wǎng)絡(luò)部分設(shè)備選型 1、公司總部選用免疫網(wǎng)關(guān)IWG 18002、分支機(jī)構(gòu)選用免疫墻路由器NUR8366M二、系統(tǒng)部分設(shè)備選型三、網(wǎng)絡(luò)部分方案實(shí)施1、網(wǎng)絡(luò)接入設(shè)置（1）、IWG1800滿足同時(shí)100臺(tái)終端并發(fā)上網(wǎng)（2）、公網(wǎng)傳輸速度優(yōu)化，雙向轉(zhuǎn)發(fā)速度100M通過(guò)網(wǎng)關(guān)無(wú)帶寬瓶頸（3）、WAN口滿足光纖、ADSL同時(shí)接入，保證同時(shí)在線和線路故障

7、自動(dòng)切換，實(shí)現(xiàn)多WAN口接入保證外網(wǎng)通訊不間斷。圖4、網(wǎng)絡(luò)連接狀態(tài)（4）、VLAN功能分別將財(cái)務(wù)室、行政部，技術(shù)部，服務(wù)器組進(jìn)行網(wǎng)絡(luò)隔離管理。實(shí)現(xiàn)各部門(mén)之間安全互不影響的效果。圖5、VLAN功能（5）、提供服務(wù)器端口映射，與VPN穿透，分支機(jī)構(gòu)能夠訪問(wèn)總部文件服務(wù)器等功能圖6、虛擬服務(wù)器功能圖7、VPN穿透功能2、分組管理功能（1）對(duì)各個(gè)部門(mén)進(jìn)行分組管理圖8、部門(mén)成員分組（2）URL關(guān)鍵字過(guò)濾，可對(duì)指定進(jìn)行封鎖，不允許訪問(wèn)娛樂(lè)或者帶有關(guān)鍵字的下載等。圖9、URL關(guān)鍵字過(guò)濾（3）針對(duì)不同的部門(mén)，設(shè)置相應(yīng)的權(quán)限，包括網(wǎng)、外網(wǎng)上傳、下載速度，免疫安全策略等圖10、免疫安全策略-帶寬控制（4）上網(wǎng)行為

8、管理控制，封鎖聊天、網(wǎng)絡(luò)游戲、下載等應(yīng)用圖11、上網(wǎng)行為管理功能3、網(wǎng)絡(luò)安全防護(hù)措施（1）接入網(wǎng)關(guān)具備ARP先天免疫、免疫防火墻、濾窗技術(shù)等安全功能。能夠主動(dòng)防御協(xié)議、病毒的攻擊圖12、網(wǎng)絡(luò)安全DOS防火墻圖13、ARP先天免疫（2）網(wǎng)絡(luò)可信接入，防網(wǎng)絡(luò)攻擊設(shè)置嚴(yán)格的上網(wǎng)策略，校驗(yàn)免疫驅(qū)動(dòng)，沒(méi)有驅(qū)動(dòng)不準(zhǔn)上網(wǎng)。要求組成員必須是可信接入身份，IP-MAC與免疫驅(qū)動(dòng)三者同時(shí)真實(shí)可靠。防止攔截篡改MAC、攔截ARP欺騙、過(guò)濾虛假I(mǎi)P、攔截IP分片、超大Ping包過(guò)濾等安全功能。圖13、免疫上網(wǎng)驅(qū)動(dòng)下載（3）通過(guò)驅(qū)動(dòng)校驗(yàn)驅(qū)動(dòng)和MAC地址過(guò)濾，控制非法無(wú)線網(wǎng)絡(luò)接入4、提供對(duì)網(wǎng)絡(luò)治理、監(jiān)控、優(yōu)化的有效手段 （1）全網(wǎng)監(jiān)控，對(duì)每臺(tái)終端的網(wǎng)、公網(wǎng)傳輸，協(xié)議使用等監(jiān)督圖14、免疫網(wǎng)關(guān)系統(tǒng)監(jiān)控（2）對(duì)終端的身份確認(rèn)與上網(wǎng)管控 （3）定位攻擊信息源 （4）全網(wǎng)帶寬使用率的分析（5）歷史日志報(bào)告統(tǒng)計(jì)5、網(wǎng)絡(luò)應(yīng)用與安全功能升級(jí) （1）、免疫網(wǎng)關(guān) IWG1500功能升級(jí)（2）、整體策略更新（自動(dòng)）如：對(duì)ARP、UDP、ICMP等底層協(xié)議攻擊特性升級(jí) （3）、應(yīng)用功能更新（選擇）如：應(yīng)用流控管理、網(wǎng)絡(luò)審計(jì)、行為記錄等（4）、硬件特定功能升級(jí)（選擇）如：支持VPN服務(wù)、隧道建立（SSL加密）等四、系統(tǒng)部分實(shí)施1、使用windows域管理，整個(gè)公司采用統(tǒng)一的安全策略